Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Apr 26, 2023 Dario Orlandi Minacce, News, RSS, Vulnerabilità 0
Gli sviluppatori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato un aggiornamento per modificare una configurazione predefinita non sicura che potrebbe portare all’esecuzione di codice remoto.
La vulnerabilità è catalogata con il codice CVE-2023-27524 e mostra un indice di pericolosità molto alto (CVSS 8,9); coinvolge le versioni di Superset fino alla 2.0.1 compresa e riguarda l’uso di una SECRET_KEY predefinita che potrebbe essere sfruttata per accedere a risorse non autorizzate nelle installazioni esposte a Internet.
Il problema è stato scoperto da Horizon3.ai, che lo ha descritto come una pericolosa configurazione predefinita che consente a un utente malintenzionato non autorizzato di eseguire codice remoto, raccogliere credenziali e compromettere i dati.
Il difetto non ha alcun impatto sulle istanze Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY utilizzando una stringa casuale più sicura.
Tuttavia, la società di sicurezza ha scoperto che 918 dei 1.288 server accessibili al pubblico utilizzavano ancora la configurazione predefinita nel mese di ottobre 2021, quando la chiave “segreta” predefinita era \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\\h.
Un attaccante che conosce la chiave segreta predefinita potrebbe accedere ai server come amministratore falsificando un cookie di sessione, per poi assumere il controllo dei sistemi.
Per risolvere il problema, gli sviluppatori del progetto hanno implementato una prima correzione l’11 gennaio 2022, modificando il valore SECRET_KEY in “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” e aggiungendo istruzioni per modificarlo con una chiave personalizzata.
Inoltre, Horizon3.ai ha dichiarato di aver trovato altre due configurazioni SECRET_KEY con valori predefiniti “USE_YOUR_OWN_SECURE_RANDOM_KEY” e “thisISaSECRET_1234”.
Un’ulteriore verifica, effettuata nel febbraio di quest’anno, ha rivelato che 2.124 delle 3.176 istanze di Superset analizzate utilizzavano una delle chiavi predefinite; il problema riguardava aziende grandi e piccole, agenzie governative e università.
In risposta alla segnalazione, il team di sicurezza Apache ha rilasciato un nuovo aggiornamento (versione 2.1) il 5 aprile 2023 per colmare la falla di sicurezza, impedendo l’avvio del server se configurato con la SECRET_KEY predefinita.
L’aggiornamento non è però infallibile in quanto alcuni utenti potrebbero eseguire involontariamente Superset con un SECRET_KEY predefinito diverso, se utilizzano un file docker-compose o un modello helm.
Come se non bastasse, alcune configurazioni impostano admin/admin come credenziali predefinite per l’utente amministratore. Horizon3.ai ha reso disponibile uno script Python per verificare se le istanze Superset sono suscettibili al problema.
Naveen Sunkavally, Chief Architect di Horizon3.ai, ha commentato: “È comunemente accettato che gli utenti non leggano la documentazione e le applicazioni dovrebbero essere progettate per forzare gli utenti lungo un percorso in cui non hanno altra scelta che essere sicuri per impostazione predefinita”.
Apr 22, 2024 0
Apr 22, 2024 0
Apr 16, 2024 0
Apr 11, 2024 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...